Cómo integrar modelos de lenguajes grandes (LLM) en herramientas SIEM

  • Puntos clave:
  • ¿Cómo se integran los LLM en SIEM?
    Admiten consultas en lenguaje natural, resumen incidentes y ayudan en la clasificación automatizada.
  • ¿Por qué son valiosos los LLM en operaciones de seguridad?
    Reducen la barrera de las habilidades, reducen el ruido y aceleran las investigaciones al interpretar datos complejos de forma intuitiva.
  • ¿Cuáles son los casos de uso prácticos de los LLM en SIEM?
    Generar automáticamente informes de incidentes, responder preguntas de los analistas y correlacionar el contexto de amenazas.
  • ¿Cuáles son las limitaciones de los LLM en seguridad?
    Requieren barandillas, validación de contexto y ajustes para evitar alucinaciones y respuestas irrelevantes.
  • ¿Cómo utiliza Stellar Cyber ​​los LLM en su plataforma?
    Integra LLM para mejorar las investigaciones, proporcionar resúmenes de alertas y mejorar la interacción hombre-máquina en el SOC.

Las herramientas de gestión de eventos e información de seguridad (SIEM) ofrecen una forma probada de obtener información incluso en los entornos más extensos y complejos. Al agregar datos de registro de cada rincón de su red, los SIEM ofrecen una vista centralizada de toda su infraestructura. Esta visibilidad es crucial, pero a veces, entregar la información correcta a la persona adecuada puede ser un cuello de botella en sus defensas. Este artículo explorará las nuevas posibilidades que ofrecen los modelos de lenguaje grande (LLM) en ciberseguridad, específicamente en lo que respecta a las herramientas SIEM.

Hoja de datos de próxima generación en formato PDF.webp

SIEM de próxima generación

Stellar Cyber ​​Next-Generation SIEM, como componente crítico dentro de la plataforma Stellar Cyber ​​Abrir XDR...

Descargar Ficha Técnica
imagen de demostración.webp

¡Experimente la seguridad impulsada por IA en acción!

Descubra la IA de vanguardia de Stellar Cyber ​​para una detección y respuesta instantáneas a amenazas. ¡Programe su demostración hoy!

Solicite una Demo

Los atacantes ya utilizan LLM contra sistemas críticos

Ya hemos discutido cómo es GenAI Transformando el ataque de ingeniería social, pero los LLM disponibles públicamente están ayudando a los grupos de amenazas avanzadas de muchas otras maneras. El más reciente de Microsoft. Informe de señales cibernéticas detalla cómo grupos como la cohorte de inteligencia del ejército ruso han estado realizando reconocimientos con GenAI.

Un objetivo clave del grupo de amenazas, denominado Forest Blizzard, es la exploración de tecnologías de satélites y radares en Ucrania. Esto incluyó solicitudes para que ChatGPT proporcionara planos técnicos y explicaciones de protocolos de comunicación. Se ha observado que otros grupos respaldados por una nación están utilizando las herramientas de OpenAI de manera similar: Salmon Typhoon, respaldado por el PCC, las está utilizando activamente para obtener información sobre personas de alto perfil y la influencia de Estados Unidos. Básicamente, los LLM ya se han convertido en parte de los conjuntos de herramientas de recopilación de inteligencia de los actores de amenazas. Además, están utilizando los LLM para mejorar las técnicas de secuencias de comandos, como la manipulación de archivos.

LLM en SIEM: cómo se aplican los modelos de lenguaje grandes

Microsoft ya ha comenzado a experimentar con la integración de GenAI en una solución SIEM preexistente: como resultado, vieron a los analistas realizar tareas un 26 % más rápido en un ensayo controlado aleatorio. Para establecer cómo, eche un vistazo a las cuatro aplicaciones siguientes de LLM en herramientas SIEM. 

1. Análisis de phishing

Como herramienta de seguridad que respalda la seguridad integrada, SIEM puede ayudar a corroborar indicadores de phishing cuando los atacantes lo utilizan contra usuarios finales. Los indicadores de intentos de ataques de phishing, como la sospecha de fuga de datos y la comunicación con hosts hostiles conocidos, pueden detectarse antes de que el ataque se haya ejecutado por completo.

Sin embargo, los ataques de phishing se basan casi exclusivamente en que el mensaje correcto llegue al usuario adecuado en el momento adecuado. Como modelos lingüísticos, los LLM son perfectamente adecuados para analizar la intención de un mensaje; Junto con los controles y equilibrios proactivos que evalúan la validez de los archivos adjuntos o las URL, la prevención del phishing es un mecanismo de seguridad que se beneficiará enormemente de la actual popularidad de los LLM. Incluso la educación de los empleados puede esperar mejoras gracias a estos LLM. Al ayudar a los equipos de seguridad a crear correos electrónicos, mensajes de voz y mensajes SMS más realistas y adaptables en ataques simulados, sus empleados podrán detectar los reales en el momento justo. Este enfoque dual de detección y educación reduce significativamente el riesgo de que se escapen ataques de phishing.

2. Análisis rápido de incidentes

Los incidentes de ciberseguridad pueden ocurrir en cualquier momento, por lo que es fundamental que los analistas de seguridad respondan rápidamente para contener y mitigar sus efectos. Y aunque los atacantes ya utilizan LLM para comprender e identificar posibles vulnerabilidades en software y sistemas, el mismo enfoque puede funcionar en ambos sentidos.

En momentos en los que se requiere una respuesta rápida, una descripción general rápida puede brindar a los analistas de guardia la capacidad de armar rápidamente el rompecabezas más amplio. Estos LLM no solo ayudan en la detección de anomalías, sino que también guían a los equipos de seguridad en la investigación de estas anomalías. Además, pueden automatizar las respuestas a incidentes específicos, como restablecer contraseñas o aislar puntos finales comprometidos, simplificando así el proceso de respuesta a incidentes.

3. Incorporación de herramientas SIEM

La importancia del tiempo de los analistas significa que, al incorporarse y adquirir experiencia con una nueva herramienta SIEM, la postura de seguridad de la organización requiere cuidado y precaución adicionales. Si un analista aún no se siente cómodo utilizando una herramienta lo mejor que puede, aún quedan mejoras posturales no realizadas que aún deben lograrse.

Si bien es posible esperar y dejar que sus analistas descubran orgánicamente las complejidades de una herramienta, ciertamente no es la forma más eficiente; por el contrario, sacarlos de las tareas diarias para una capacitación prolongada sobre la herramienta es igualmente ineficiente. Al alcanzar el punto medio perfecto, se puede incorporar una función LLM accesible a una nueva herramienta SIEM, que puede sugerir formas alternativas y más rápidas de navegación, integración y uso, ayudando a nivelar la brecha de habilidades cuando los analistas realmente lo necesiten.

4. Planificación de respuesta a incidentes 

Los planes de respuesta a incidentes (IRP) describen los pasos necesarios que una organización debe tomar para recuperarse de diversas fallas, como las infestaciones de malware. Estos planes a menudo se basan en procedimientos operativos estándar (SOP) para guiar acciones específicas, como proteger una cuenta o aislar equipos de red. Sin embargo, muchas empresas carecen de SOP actualizados o no los tienen en absoluto, lo que deposita una confianza francamente ingenua en el personal para gestionar incidentes de alto estrés.

Los LLM pueden desempeñar un papel fundamental en la redacción de los IRP iniciales, sugerir mejores prácticas e identificar lagunas en la documentación. También pueden apoyar y fomentar la participación de las partes interesadas transformando información compleja de seguridad y cumplimiento en resúmenes relevantes y accesibles. Esto mejora la toma de decisiones y ayuda al personal a priorizar en tiempos de crisis.

Al integrar los LLM en las herramientas SIEM, las organizaciones pueden mejorar su postura de ciberseguridad, optimizar las operaciones y mejorar las capacidades de respuesta a incidentes, garantizando que estén mejor preparadas para enfrentar las amenazas en evolución.

Consideraciones de cumplimiento

Si bien GenAI ofrece una serie de beneficios potenciales, su condición de vanguardia significa que hay dos consideraciones a tener en cuenta.

Gestión de datos

Al integrar la IA en su empresa, es esencial asegurarse de que los proveedores elegidos ofrezcan funciones integradas que limiten el acceso del LLM solo a empleados y equipos específicos. Involucrar a las partes interesadas en el riesgo cibernético en toda la organización debería ayudarlo a definir y alinear los controles de acceso requeridos por cada caso de uso. Considere pedirle a su proveedor de SIEM una factura de software y aclare cómo los proveedores de herramientas de terceros administran y almacenan los datos de capacitación y conversación.

Gestión de registros

La gestión de registros implica recopilar, almacenar y analizar archivos de registro generados por computadora para monitorear y revisar la actividad: es la base de cómo las herramientas SIEM analizan y protegen los sistemas de su organización. Por ejemplo, directivas gubernamentales como la M-31-21 exigen que estos registros deben almacenarse durante un mínimo de un año. Las plataformas Cloud LLM ya permiten una captura optimizada de datos sobre las solicitudes y la identidad de los usuarios; y como La arquitectura SIEM ya está madurando hacia una gestión de registros eficiente, incluso los LLM con muchos registros representan un beneficio para la seguridad gracias al análisis de registros automatizado de las herramientas SIEM.

Alcance su potencial SIEM de próxima generación con Stellar Cyber

Dar el salto a SIEM basado en ML no debería requerir una revisión total de sus herramientas de seguridad más amplias. En su lugar, elija una herramienta que garantice SIEM de próxima generación y se integre con toda la lista de dispositivos, redes y soluciones de seguridad disponibles. SIEM de próxima generación de Stellar Cyber ofrece una solución unificada impulsada por IA que simplifica y potencia. 

Suena demasiado bueno para...
¿ser cierto?
¡Véalo usted mismo!

SOLICITA TU DEMOSTRACIÓN
Ir al Inicio
Suscríbete a los boletines